署名鍵とは
署名鍵とは、作成する鍵と秘密鍵のペアで、バックエンドサービスが API Gateway から受信したリクエストを認証します。 次の点にご注意ください。
- 鍵を作成するときは、リージョン(変更不可)を選択する必要があります。 鍵は同じリージョン内の API にしかバインドできません。
- API 1 つにつき、鍵を 1 つしかバインドできません。 鍵は置き換え、変更、API にバインド、API からバインド解除することができます。
- API に鍵をバインドした後、サービス バックエンドで API Gateway から API に送信されたすべてのリクエストに署名情報が付加されます。API Gateway の身元認証にバックエンドで計算して署名情報を解析する必要があります。 HTTP サービスに署名を付加する方法の詳細は、バックエンド HTTP サービスの署名をご参照ください。
情報漏洩した鍵の変更または置換
鍵が漏洩した後に鍵と秘密鍵のペアを変更、または、API にバインドされた鍵を別の鍵に置き換えるには、次の手順に従います。
- 元の鍵および変更または置換される鍵の 2 つの鍵に対応するようにバックエンドを設定します。 そうすることで、鍵の変更や置換に関係なく、置換処理中もリクエストは署名認証に成功するようになります。
- バックエンドを設定したら、鍵を変えます。 新しい鍵および秘密鍵が有効なことを確認の上、漏洩した古い鍵を削除します。